声明

本公众号文章来自我的学习笔记，可以转载，须标明原出处。请不要利用文章内的相关知识点进行非法渗透，仅做学习使用，产生的一切后果与文章作者和本公众号无关。

越权漏洞

功能点：支付时优惠卷处

注册新用户时 系统派发一些优惠卷 而且优惠卷id是数字 而且还是递增的形式派发的  例如A用户的满100-50的couponID是123  而B用户领取的couponID则是124
    
在购买商品时使用优惠卷 其数据包类似如下(简化版)
 userID=100&comID=2&price=110&couponID=124
    
    那么替换couponID为别的用户的就行

功能点：自己的收藏 发帖 资料啥的 各种信息的增删改查  反正有数据能增删改查的

这种主要看鉴不鉴权 以及参数点是否加密和是否有相似性 数据包不举例了 没啥好说的

功能点：评论区啥的 反正你能发言 其他用户也能发言的地方

越权回复
    A:这是帖子
        B：B用户回复了帖子
        C：C用户回复了帖子
    这里举例攻击者是D用户 
        D回复C  所产生的数据包是这样的
        
        userId=D&content=D的回复&reply=C&card=A // 这里的card=A是A这个帖子的id 实际上可能还有C用户的评论也有个id 不知道用什么英文演示 就不写上来了
        为了达到越权回复只需要修改reply的参数即可 修改为其他用户的id 并且被回复的用户都是能收到留言或评论啥的 但是他们根本没来过这个帖子
        
        关于这个越权参数值不是数字怎么办?
         给用户点赞/回复/关注 抓包获取

免邮购

在购物时 买东西不满一定的金额需要支付邮费 
    先购买一个满足包邮的商品 查看其快递id的值 这里不知道怎么形容这个 就是假如包邮id为1 不包邮为0
     当然实际上可能有隐藏参数 
     这个洞是靠运气挖到的...

这里推荐一篇月神关于逻辑漏洞挖掘的文章

https://mp.weixin.qq.com/s/-r1oWQb_oS8jEMdJs9Ct_g

XSS

存储型XSS

功能点:评论区 个人信息 个人文档等反正能自己写入信息的地方
    个人常用 <u>111</u> 标签去探测能不能使用HTML标签  之后便是使用网上的xss payload去使用 关于waf这方面 我也不会饶...
    xss payload
     https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
  https://www.freebuf.com/articles/web/340080.html

PDF类的XSS

不一定要PDF 
    html svg的也行
    不一定都上传到oss上

组合拳：逻辑漏洞+存储XSS

某次挖掘中  发现修改某资料的参数点是数字 于是便尝试越权 成功越权

有一个富文本编辑框 不知道是不是叫这个

上传一个图片 保存时修改越权的参数点和img标签 修改为 <img src=x onerror='console.log(1)'> 成功执行

反射XSS

反射XSS我靠看bp的历史数据包挖了好几个 常见的反射xss点的接收参数如下 callback cb 啥的 
    需要三个条件：
     1.历史数据包中返回包的Content-Type 得为text/html;charset=utf-8才可能解析HTML标签
     2.解析HTML标签
        3.能执行xss
  注：饶waf我也不会
    
    这里推荐一个插件HAE插件 自己加点关键字进去 正则可以让GPT写 

DOM XSS  这个只在bp靶场上打过 不怎么懂JS不会

BP靶场 https://portswigger.net/web-security  免费的

CSRF

功能点：个人信息的修改啥的

使用bp的csrf poc生成就行了

点击这个Test in browser 是可以生成在线链接的

某些增加了token的 其实可以试试删掉token再csrf
    自己一个号也可以测试 csrfpoc中的信息修改为不一样的 访问poc链接看自己数据有无变化即可 
    但提交时建议两个号演示哦

逻辑缺陷+CSRF导出个人信息

某站后台可以导出个人信息到自定义邮箱 前提是需要短信验证码验证
    改200成功绕过短信导出个人信息
    此时只需要将导出个人信息的数据包制作成csrfpoc即可

不知道叫啥的CSRF

某站邮箱换绑
    第一次CSRF 输入邮箱信息可CSRF
    第二次CSRF 发送邮件到目标邮箱
    
    期间需要间隔5秒  太快了不能发送邮件
     于是生成第一个CSRF的poc 其中在js中settimeout睡眠了5秒 也在js中加入了访问自己的vps的代码 具体是啥不知道了 可以百度搜搜 因为厂家这个洞没收 也没保留报告  而自己的vps地址重定向到第二次CSRF的地址 第二次CSRF是get的话直接重定向就行 post的话要使用bp的CSRFpoc的链接

URL重定向

挖掘方式：仔细看bp历史数据包中的302跳转 
 https://www.bugbountyhunter.com/hackevents/report?id=833
    %2f%09%2fattacker.com
    attacker.com是跳转的地址 

并发

功能点：领取东西 签到 抽奖 提现 换钱 退钱 发短信 0元领取 取消关注等

bp的并发

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                           concurrentConnections=20,
                           requestsPerConnection=50,
                           pipeline=False
                           )
        
    for i in range(20):
        engine.queue(target.req, target.baseInput, gate='race1')
            
    engine.openGate('race1')

    engine.complete(timeout=60)

def handleResponse(req, interesting):
    table.add(req)

这里关于并发的案例不多举例了   关于短信轰炸绕过的网上也有文章

当并发不成功 我们可以开启bp卡住包手动点击哦 点多点 然后关闭抓包   那个带sing的也可以手动点击试试哦

BP插件推荐

HAE 找敏感信息 各种信息(自己配置)
AutoRepeater  挖SSRF  

谋事在人成事在天

多看功能点 多看数据包 一定要多动手 空虚比挫败更难忍受 曾经的我很空虚...